Trinn én for IT-sikkerhet: Finn ut hva som må beskyttes

Hvordan er IT-sikkerheten i selskapet eller organisasjonen du jobber for? Den kan være bra, men vet du, med hånden på hjertet, hva du egentlig beskytter? Her er noen tips for hvordan du kan få et bedre bilde.

IT-sikkerhetsarbeid har en tendens til å fokusere på ferdige løsninger, ikke på hvorfor løsningene faktisk er nødvendige. Spørsmålet er om de som jobber med IT-sikkerheten vet hvilke eiendeler som er mest kritiske, og om de er under angrep for øyeblikket.

Dette handler ikke bare om IT-sikkerhet. Utviklere og teknikere som starter en ny applikasjon, kan sjelden snakke i detalj om hvilke forretningsfordeler denne vil skape. De er opptatt av å få komplekse IT-løsninger til å fungere, forhåpentligvis i henhold til plan og spesifikasjon, og innenfor budsjett.

Beskytt det som gir mest verdi å beskytte

Det mest fornuftige vil være å designe sikkerhetsløsninger i henhold til ressursene som trenger beskyttelse. Det vil si bruke mest tid og penger på ressursene som gir mest verdi å beskytte.

– Vår erfaring er at langt fra alle kunder kan peke ut sine mest verdifulle eiendeler. Dette betyr at de bruker en generell policy for beskyttelse. Dette betyr at noen ressurser har full beskyttelse, men at de mest kritiske eiendelene sannsynligvis ikke har det, sier Stefan Lager som er SVP Global Service Lines hos sikkerhetsselskapet Orange Cyberdefense, tidligere SecureLink som 9. mars 2020 ble en del av Orange Group.

En måte å rangere beskyttelsesbehovet for ressurser på er å starte fra den enkle formelen Risiko = Sårbarhet * Trusler. I virkeligheten blir det selvfølgelig mer komplisert enn det, men hvis du starter med å analysere sårbarheter og trusler, får du et mål på risikoen som finnes. Legg til estimater av økonomiske tap, direkte og indirekte, som en sårbarhet utnyttet av en ondsinnet person kan medføre.

– Det varierer veldig mye, avhengig av hvilket selskap det er. Nøkkelen til suksess er samarbeid og det å ha flere ulike kompetanser, sier Stefan Lager.

Han nevner behovet for generell ekspertise på cybersikkerhet om hvilke trusler som finnes for øyeblikket og hvordan man kan oppdage samt beskytte seg mot disse. Det er også behov for informasjon om hvilke applikasjoner som er tilgjengelige, hvordan de brukes og hvor viktige de er for selskapets virksomhet. Med den kombinerte kompetansen er det mulig å optimalisere investeringer både for beskyttelse og for å oppdage (detektere) trusler det ikke er mulig å beskytte seg mot.

En anbefaling er ikke bare å sende logger til en SIEM (sikkerhetsinformasjon og hendelsesstyring) løsning for å håpe at den finner noe. Det vil gi få virkelige alarmer og veldig mange falske alarmer. I stedet er det best å identifisere risiko i fellesskap, hvilke data som er nødvendig for å oppdage potensielle trusler, samt samle relevant data og bygge usecaser rundt disse. Det gir en høy grad av deteksjon med svært få falske alarmer.

Spesielt falske alarmer er et stort problem når du arbeider for å oppdage trusler. Årsaken er ikke bare at det koster mye tid og penger å undersøke disse, men et enda større problem er at virkelig farlige trusler kan drukne blant alle de falske alarmene. Det er en rekke eksempler på dette i store kjente sikkerhetshendelser, der det berørte selskapet hadde informasjon for å kunne oppdage trusselen tidligere, men den informasjonen druknet i blant annet irrelevante data.

En måte å se på IT-sikkerhet er selvfølgelig å beskytte deg mot økonomiske tap. Eksempler som kan gi potensielle økonomiske tap kan være:

• At applikasjoner og data ikke er tilgjengelige.
• At kritiske forretningsdata blir stjålet.
• Badwill.
• Bøter, for eksempel for brudd på GDPR.

Det finnes selvfølgelig flere eksempler, men poenget er at sikkerhetshendelser nesten alltid gir økonomisk tap.

Når du vet hvilke ressurser som må beskyttes, er neste trinn å undersøke om de er beskyttet. Også her er det fare for at arbeidet blir teknologifokusert i for stor grad. I tillegg til teknologi handler det også om mennesker og prosesser.

Det er ikke nok å bare kjøpe gode teknologiløsninger, de må også konfigureres optimalt og ha prosesser på plass for å holde konfigurasjon og programvare oppdatert. Faktisk har flertallet av de største sikkerhetshendelsene som har skjedd skjedd nettopp på grunn av feil konfigurasjoner eller sårbarheter som ikke hadde blitt oppdatert.

Når du implementerer teknologiløsninger og prosesser, er fellen å fokusere bare på påvisning av trusler og angrep. Det er også viktig å tenke på hvilke tiltak som må gjøres. I mange selskaper blir dette arbeidet håndtert av en sentral avdeling kalt SOC (Security Operations Center). Hvordan skal noe slik drives?

• De som angriper finnes i hele verden, så du må ha en evne til å kunne detektere døgnet rundt hver dag.
• Det er ingen verktøy i dag som kan erstatte en sikkerhetsanalytiker fullstendig. Så det er nødvendig med en bemannet SOC døgnet rundt hver dag.
• Det er vanskelig og dyrt å ansette og beholde gode sikkerhetsanalytikere.
• Jo tidligere et angrep blir identifisert og avverget, jo mindre innvirkning og lavere kostnader får selskapet.
• En ulempe med å ha en egen SOC er at du bare ser trusler som rammer ditt miljø. En MSSP kan proaktivt bygge detektering for alle sine kunder for trusler som blir oppdaget hos en av kundene

– Det store spørsmålet er om du kan administrere en SOC selv eller om det er smartere å outsource arbeidet. Det kreves rundt tolv heltidsansatte  for en SOC som skal være bemannet døgnet rundt. Utfordringen er ikke bare kostnadene og tiden som må til for å finne så mange mennesker, men også å kontinuerlig videreutvikle de ansatte, prosessene de jobber etter og verktøyene de trenger for å kunne gjøre jobben sin. Dermed vil det for mange selskaper  være bedre å outsource denne funksjonen. Vi hjelper kundene med å identifisere hvilke behov de har, og kan deretter bistå med forskjellige typer tjenester for beste løsning for selskapet.